Microsoft hat eine Angriffswelle auf das Hotel- und Gastgewerbe in Asien und Europa beobachtet. Sie läuft bereits seit April dieses Jahres. Die Quelle der Angriffe mag Microsoft jedoch nicht genau einordnen – es bleibt unklar, wer hinter den Attacken steckt.

Microsoft berichtet in einem Blogbeitrag, dass die Malware-Kampagne auf .zip-Dateien mit Foto-Namensschema setzt. Die laden potenzielle Opfer mit dem Webbrowser herunter. In den Archiven finden sich Shortcut-Dateien (Verknüpfungen), die als Bilder getarnt sind. Sofern ein Opfer diese etwa mittels Doppelklick startet, fangen diese eine Angriffskette an, die auf verschleierter PowerShell fußt. In der Folge installiert sie ein Node.js-Implantat, nistet sich zweifach in der Registry ein, um Persistenz zu erreichen und kommuniziert mit den Command-and-Control-Servern (C2) über Ports abseits der Standardports.

Kampagnen-Ziel unklar

Die IT-Sicherheitsforscher von Microsoft führen weiter aus, dass die Täter die betroffenen Maschinen nach der Infektion am C2-Server anmelden. Teils erzwingen sie das Herunterfahren der Systeme. Außerdem kompilieren sie Binärdateien im Portable-Executable-Format (PE). Allerdings bleibt den IT-Forschern zufolge unklar, was das eigentliche Ziel der Angreifer ist. Durch die Verschleierung und das Einnisten gehen sie jedoch davon aus, dass sie Nachfolge-Aktivitäten auf den kompromittierten Systemen planen.

Die Drahtzieher hinter der Kampagne haben im Mai dieses Jahres legitime Dienste missbraucht, um Phishing-E-Mails an die Opfer zu senden. Darunter die Cloud-Plattform Calendly und Googles URL-Redirector-Dienst. In Anlehnung an „Geldwäsche“ bezeichnen Microsofts IT-Forscher das als „Authentifizierungswäsche“. Die Phishingmails erhalten dadurch einen seriöseren Anstrich. Die Betrugsmails waren mehrsprachig, mit unterschiedlichen Ködern und Betreffzeilen. Thematisch gaben die Angreifer vor, es gehe um Beschwerden von Gästen und Zimmeranfragen. Das soll die Angestellten der Hotel- und Gastwirtschaftsbetriebe dazu bringen, die E-Mails zu lesen und die enthaltenen bösartigen Links und Dateien zu öffnen.

In den zwei beobachteten Wellen der Kampagne kamen zunächst bösartige Dateien nach dem Namensschema „IMG.png.lnk“ zum Einsatz, in der zweiten hingegen „PHOTO.png.lnk“. Die zweite Welle war noch etwas ausgefeilter und kompiliert dynamisch eine .NET-DLL mittels „csc.exe“. Die C2-Infrastruktur haben die Täter zudem auf „.cfd“-Domains ausgeweitet, die hinter Cloudflare-Schutz gehostet werden. Der Blogbeitrag beschreibt die einzelnen Stufen der Angriffe für Interessierte im Detail.

Während Microsofts IT-Forscher sich nicht sicher sind, was die Angreifer bezwecken, fällt die Kampagne in die Zeit, in der viele Menschen ihren Urlaub buchen. Uns erreichen noch immer zahlreiche Hinweise, dass Leser nach Buchung eines Hotelzimmers Phishing-WhatsApp-Nachrichten mit echten Daten und Bezug auf die Buchung erhalten. Im März hatten etwa die Best Western Hotels vor Cyberangriffen auf touristische Buchungssysteme gewarnt. Im April wurde bekannt, dass auch bei Booking.com Zugriffe von unbefugten Kriminellen entdeckt wurden.

(dmk)

Die US-amerikanischen Sicherheitsbehörden FBI und CISA haben ihre gemeinsame Warnung vor Angriffen vom russischen Geheimdienst auf Messenger-Konten von hohen Beamten und Politikern aktualisiert. Die Masche setze weiterhin auf angebliche Support-Nachrichten der genutzten Plattform. Jetzt sind jedoch die Wiederherstellungsschlüssel für Backups im Visier der Angreifer.

Die IT-Sicherheitsbehörde CISA kündigt das gemeinsam mit dem FBI erstellte Dokument an. In der öffentlichen Bekanntmachung schreiben die Behörden, dass sie mehrere Cluster russischer Geheimdienste ausgemacht haben, die weiterhin für Phishing-Kampagnen auf kommerzielle Messenger-Anbieter gegen für Spionage interessante Individuen verantwortlich sind. Angriffe laufen auf ehemalige und aktuelle internationale und US-Regierungsbeamte, Militärpersonal, politische Persönlichkeiten, Journalisten und Schlüsselpersonen in der Ukraine.

Konten unterwandert, aber nicht die Messenger-Apps und -Plattformen

Dabei haben die Geheimdienstler individuelle Messenger-Konten kompromittiert, nicht jedoch die Plattformen oder die Anwendungen selbst, erklären die Behörden. Die Angreifer geben sich weiterhin als automatische Support-Konten in den neueren Phishing-Kampagnen aus, haben es nun jedoch auf die Wiederherstellungsschlüssel für Backups abgesehen. Zudem versuchen sie weiterhin, an die Bestätigungscodes und Konto-PINs ihrer Opfer zu gelangen.

Sofern Opfer ihren Backup-Wiederherstellungsschlüssel an die Angreifer gesendet haben, bleibt der auch dann gültig, wenn sie nach der Kompromittierung ein neues Konto mit derselben Telefonnummer einrichten. Dadurch können die Angreifer auch das neu angelegte Konto übernehmen. Um das zu verhindern, müssen Betroffene in den Einstellungen einen neuen Backup-Wiederherstellungsschlüssel erzeugen. Das invalidiere den vorherigen Key für künftige Backup-Downloads. Das schützt jedoch nicht davor, dass Angreifer bereits ein Backup aus dem originalen Konto heruntergeladen haben können.

Die CISA betont, dass die Kampagnen der Angreifer in unbefugte Zugriffe auf tausende individuelle Messenger-Konten mündeten. Dabei haben sie die Nachrichten und Kontaktlisten der Opfer eingesehen, Nachrichten geschickt und weitere Phishing-Angriffe gegen weitere Messenger-Konten gestartet.

Auch deutsche Politikerinnen und Politiker waren und sind Ziel solcher Angriffe. Etwa Bundestagspräsidentin Julia Klöckner wurde Opfer solch eines Angriffs, wie im April bekannt wurde.

(dmk)

Eine eSIM ist eine einfache Lösung, um möglicherweise teures Daten-Roaming zu verhindern, wenn damit eine lokale Verbindung genutzt werden kann. Es gibt aber auch Risiken, warnt die zu Taiwans Digitalministerium gehörende Cybersicherheitsbehörde. Insbesondere zu niedrigen Preisen angebotene eSIMs weitgehend unbekannter Anbieter könnten Mobilfunkdaten durch die Netze von Drittanbietern leiten, einschließlich chinesischer Telekommunikationsnetze. Das berge die Gefahr von Überwachung.

Eine eSIM kann nützlich sein und hat zahlreiche Vorteile. Sie ersetzt die physische SIM-Karte durch eine fest im Gerät eingelötete und enthält die gleichen Daten wie eine konventionelle SIM-Karte. eSIMs lassen sich über eine Internetverbindung herunterladen, auf dem entsprechenden Chip speichern und dann genau wie in einer herkömmlichen SIM-Karte verwenden. Wer eine eSIM für den Urlaub erwirbt, kann die heimatliche SIM deaktivieren und das eSIM-Profil eines Netzes vor Ort verwenden.

Vorsicht bei eSIM-Apps und Berechtigungen

Allerdings werden dabei nicht ausschließlich lokale Netze verwendet, wie Taiwans Cybersicherheitsbehörde laut lokaler Medien im Vorfeld der Sommerferien erklärt. Vor allem billige eSIMs könnten die Daten auch durch chinesische Netze leiten. Hier wird Taiwans Misstrauen gegenüber China deutlich. Denn die Abteilung des Digitalministeriums warnt, dass unverschlüsselte Daten in Netzen, die überwacht werden können, abgegriffen werden könnten. Damit könnten etwa der Browser-Verlauf oder Zugangsdaten abgefangen werden.

Reisende sollten besonders vorsichtig sein, wenn eine eSIM eine gesonderte App zur Aktivierung benötigt. Ein eSIM-Profil speichert nur die Nummer sowie verschlüsselte Telekommunikationszugangsdaten und kann selbst keine auf dem Smartphone gespeicherten Daten lesen. Apps, die Zugriff auf Kontakte, Bilder, Bluetooth oder den Standort verlangen, sollten genau geprüft und nur über Googles Play-Store oder Apples App-Store heruntergeladen werden.

Alternative: Roaming des eigenen Vertrags

Auch sollten eSIMs nur von Plattformen bezogen werden, die Kontaktinformationen deutlich darstellen, einen Kunden-Support bieten und einen guten Ruf besitzen. Wenn möglich, sollten Kunden nach dem Mobilfunk-Provider fragen, der das Netz betreibt. Grundsätzlich empfiehlt die taiwanische Cybersicherheitsbehörde das internationale Roaming über den heimischen Mobilfunkvertrag, was beim lokalen Provider angemeldet und erworben werden kann. Falls eine eSIM trotzdem gewünscht ist, sollte diese einen großen Mobilfunkbetreiber im Zielland nutzen.

Im Ausland sollten Nutzer wie üblich darauf achten, nur gesicherte HTTPS-Verbindungen zu verwenden. Zu den Anzeichen einer Überwachung oder des Datenverlusts zählen demnach deutlich zugenommener Datenverkehr, fehlende Chats, Log-in-Warnungen von unbekannten Standorten oder Meldungen über Kennwort-Änderungen. In diesen Fällen sollten Anwender die eSIM und Roaming abschalten, das eSIM-Profil und eine damit verbundene App löschen, erteilte Berechtigungen widerrufen, den Cache löschen, wichtige Passwörter ändern und alle Geräte vorsorglich ausloggen.

(fds)